事件描述

对接单点登录过程中,有一个环节是根据拿到的code去认证中心获取用户token,在请求过程中报错SSLHandshakeException: unable to find valid certification path to requested target

搜索历程

chatgpt 回答:

当 Java 作为客户端时,可能会遇到“SSLHandshakeException: unable to find valid certification path to requested target”异常,这通常是因为客户端无法验证服务器的 SSL 证书。

为了解决这个问题,可以尝试以下方法:

检查服务器 SSL 证书是否有效且未过期。确保客户端拥有必要的根证书和中间证书。可以在客户端执行以下命令来查看 Java 的证书存储库:

keytool -list -v -keystore

其中 是证书存储库的路径和名称。如果需要添加缺少的证书,可以使用以下命令:

keytool -import -alias -file -keystore

其中 是要为证书指定的别名, 是证书文件的路径和名称, 是证书存储库的路径和名称。

如果服务器的 SSL 证书是自签名的,则需要将证书导入到客户端的信任存储库中。可以使用以下命令将证书导入到信任存储库中:

keytool -import -alias -file -keystore

其中 是要为证书指定的别名, 是证书文件的路径和名称, 是信任存储库的路径和名称。

如果服务器的 SSL 证书由私有 CA 签名,则需要将 CA 的证书导入到客户端的信任存储库中。可以使用以下命令将 CA 的证书导入到信任存储库中:

keytool -import -alias -file -keystore

其中 是要为证书指定的别名, 是 CA 证书文件的路径和名称, 是信任存储库的路径和名称。

需要注意的是,在将证书导入到信任存储库中时,需要输入存储库的密码,以及在提示时确认是否信任证书。

开始调试

根据确保客户端拥有必要的根证书和中间证书的提示,我先后在操作系统层面、JDK层面添加了服务端的SSL证书。相关命令如下:

Centos 添加证书

在 CentOS 系统中,可以通过以下步骤来查看证书存储库的路径:

打开终端或控制台窗口,并以 root 用户身份登录系统。运行以下命令来列出系统中所有已安装的证书存储库:

certutil -L -d /etc/pki/nssdb/

注意,/etc/pki/nssdb/ 是 CentOS 系统中默认的证书存储库路径。如果您的系统中使用了其他存储库路径,请相应地更改命令中的路径。

命令将列出存储库中所有的证书和密钥。查找证书存储库路径信息,应该类似于以下示例:

Certificate Nickname Trust Attributes

SSL,S/MIME,JAR/XPI

CA certificate CT,C,C

在这个例子中,存储库路径应该是 /etc/pki/nssdb/。

另外,还可以在 /etc/pki/tls/ 目录下查找证书和密钥文件,这也是 CentOS 系统中常见的证书存储库路径之一。

JDK安装证书

// 查看当前环境的信任库

keytool -list -keystore /usr/local/java/jdk1.8.0_202/jre/lib/security/cacerts

# 新增SSL证书

keytool -import -noprompt -trustcacerts -alias tzsso -file /root/tzcpa202304.pem -keystore /usr/local/java/jdk1.8.0_202/jre/lib/security/cacerts -storepass changeit

经过上述命令执行后依然报错,此时突然想起在连接MongoDB时设置过SSL

System.setProperty("javax.net.ssl.trustStore", truststore);

System.setProperty("javax.net.ssl.trustStorePassword", truststorePassword);

那何不将上述两个参数设置成单点登录对应的SSL证书呢?尝试后果然可行。那如何同时设置2个trustStore兼容SSO和MongoDB呢?也是一阵搜索,用逗号(,)、冒号(:)都没生效。突然意识到单点登录就一个方法用到了,在发起请求的时候指定SSL不就可以嘛。

最终方案

RequestBody formBody = new FormBody.Builder()

.add("redirect_uri", properties.getRedirectUri())

.add("client_id", properties.getClientId())

.add("grant_type", CommonConstant.AUTHORIZATION_CODE)

.add("code", code)

.build();

InputStream inputStream = new FileInputStream(properties.getCertPath());

// 创建 X509TrustManager 对象

TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

keyStore.load(null);

CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");

Certificate certificate = certificateFactory.generateCertificate(inputStream);

keyStore.setCertificateEntry("tzsso", certificate);

trustManagerFactory.init(keyStore);

TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

// 创建 SSLContext

SSLContext sslContext = SSLContext.getInstance("TLS");

sslContext.init(null, trustManagers, null);

// 创建 OkHttpClient 实例

OkHttpClient httpClient = new OkHttpClient.Builder().sslSocketFactory(sslContext.getSocketFactory(), (X509TrustManager) trustManagers[0])

.build();

// 发送请求

Request request = new Request.Builder()

.url(url)

.post(formBody)

.build();

String result = httpClient.newCall(request).execute().body().string();

JSONObject jsonObject = JSON.parseObject(result);

String string = jsonObject.getString(CommonConstant.ID_TOKEN);

JwtUtil.getUserCode(string);

至此,总算解决了!但是如何同时兼顾MongoDB和SSO的SSL证书还有待继续探索。

参考链接

评论可见,请评论后查看内容,谢谢!!!评论后请刷新页面。